5.1 E-legitimation, elektronisk underskrift och digital signatur
Inte sällan råder det en viss begreppsförvirring på området och jag kommer därför att redogöra för och särskilja på en e-legitimation, en elektronisk underskrift och en digital signatur.
En e-legitimation innebär, namnet till trots, inte automatiskt någon legitimation i skuldebrevsrättslig mening. Istället rör det sig om en elektronisk identifikationshandling. I Sverige är BankID det mest kända exemplet på en e-legitimation, men det finns också andra e-legitimationer såsom Freja eID och statens tjänstelegitimation EFOS.111 E-legitimationer klassificeras enligt eIDAS-förordningen i nivåerna låg, väsentlig och hög.112 Det finns också ett svenskt klassificeringssystem med tre tillitsnivåer på skalan 2–4.113
En elektronisk underskrift är information som är fogad till ett elektriskt dokument för att dokumentera den underskrivande partens avsikt. En elektronisk underskrift kan bestå av en namnteckning, men detta är inget måste.114 I den nu upphävda lagen om kvalificerade elektroniska signaturer användes termen elektronisk signatur, men begreppet motsvaras numera alltså av termen elektronisk underskrift i eIDAS-förordningen.115
Även om skillnaden mellan dessa två termer är försumbar så finns det ett annat begrepp som ofta misstolkas. Inte sällan används nämligen termen digital signatur i betydelsen elektronisk underskrift. En digital signatur har dock en mycket specifik betydelse inom datavetenskapen och används för att försluta data på ett sätt som gör att efterföljande ändringar kan upptäckas.116 En sådan digital signatur är inte sällan en viktig beståndsdel i en elektronisk underskrift, men dessa två ting är alltså inte samma sak. Att både
111 BankID utvecklas av företaget Finansiell ID-Teknik BID AB som ägs gemensamt av storbankerna. BankID finns i flera olika versioner, på dator, på kort och som produkten Mobilt BankID. Freja eID finns i varianterna Freja eID och Freja eID+. Freja eID utvecklas av företaget Verisec AB. Statens tjänstelegitimation EFOS utvecklas av Försäkringskassan.
112 Art 8 eIDAS-förordningen.
113 Tillitsnivå 1 definieras i standarden ISO 29115, men är inte del av det svenska tillitsramverket.
114 Jfr art 3.10 eIDAS-förordningen.
115 Prop 2015/16:72 s 34.
34
användningsområdena och uttrycken ligger nära varandra innebär att risken för begreppsförväxling är stor. I denna framställning avser jag alltså konsekvent den datavetenskapliga betydelsen när jag skriver digital signatur. När betydelsen i eIDAS-förordningen avses använder jag konsekvent termen elektronisk underskrift.
5.2 Något ytterligare om elektroniska underskrifter enligt eIDAS
eIDAS-förordningen kom till i syfte att öka förtroendet för elektroniska transaktioner på den inre marknaden och på så sätt främja en fullständigt integrerad digital inre marknad.117 I förordningen definieras tre olika typer av elektroniska underskrifter.
En elektronisk underskrift definieras som ”uppgifter i elektronisk form som är fogande till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under.”118 Högre än så är inte kraven på vad som anses vara en elektronisk underskrift. En inklippt bild av en inskannad handskriven underskrift skulle alltså kunna anses som en elektronisk underskrift, men även en knapp eller en textad underskrift kan anses som en elektronisk underskrift enligt definitionen i eIDAS. För de tillfällen då denna enkla variant av elektronisk underskrift inte är tillräcklig ur bevis- eller säkerhetssynpunkt finns ytterligare två typer av elektroniska underskrifter definierade i eIDAS-förordningen.
Enligt artikel 25.1 eIDAS får en elektronisk underskrift inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form. Som tidigare påpekats är huvudregeln i svensk rätt att det inte finns något formkrav och då är även en elektronisk underskrift giltig. När det finns ett särskilt formkrav om egenhändigt undertecknande är huvudregeln dock att en elektronisk underskrift inte är giltig, om så inte är särskilt stadgat.119
117 Skäl 2 och 5.
118 Art 3.10 eIDAS-förordningen.
35
5.2.1 Avancerad elektronisk underskrift (AES)
En avancerad elektronisk underskrift definieras enligt art 3.11 eIDAS-förordningen som ”en elektronisk underskrift som uppfyller kraven enligt artikel 26.” Art 26 ställer upp följande rekvisit för en avancerad elektronisk underskrift:
”
a) Den ska vara unikt knuten till undertecknaren. b) Undertecknaren ska kunna identifieras genom den.
c) Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll. d) Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att
alla efterföljande ändringar av uppgifterna kan upptäckas.
”
En avancerad elektronisk underskrift är alltså inte en enskild produkt eller en viss uppsättning tekniska åtgärder. Det enda som krävs är att rekvisiten i artikel 26 eIDAS är uppfyllda, men med vilken teknik det sker är oviktigt. Eftersom eIDAS-förordningen är teknikneutral går det inte att på något tillförlitligt sätt att kontrollera och validera alla olika typer av avancerade elektroniska underskrifter.120
För att ytterligare problematisera detta torde användningen av en och samma teknik kunna få olika utfall i fråga om huruvida det rör sig om en AES eller inte. Låt mig exemplifiera detta genom att beskriva hur identifieringsrekvisitet kan uppfyllas. I Sverige är det vanligt att detta sker genom användningen av en legitimation. Den i särklass vanligaste e-legitimationen i Sverige är BankID. Eftersom utställandet av ett BankID förutsätter att en fysisk identifikationskontroll har genomförts går det med stor säkerhet att anta att denna e-legitimation har utställts till rätt person.121
Ett annat sätt att kontrollera identiteten på den underskrivande parten är genom SMS-verifiering. För att bekräfta den elektroniska underskriften skickas en SMS-kod ut till det angivna telefonnumret. Den underskrivande parten får därefter fylla i samma kod i underskriftstjänsten.122 På så vis går det att med relativt hög säkerhet säkerställa att det är
120 Jfr skäl 27.
121 Normalt går det till så att en person först blir kund hos en bank och i samband med detta genomförs en fysisk identifikationskontroll. Den nya kunden får tillgång till en bankdosa och kan sedan använda den för att få ett BankID utställt till sin dator eller mobiltelefon.
36
personen med det angivna telefonnumret som skrivit under.123 I vilken grad det går att säkerställa att det är angiven person som innehar telefonnumret beror däremot på vilket sätt personen kommit i besittning av telefonnumret. I vissa länder är det nödvändigt att identifiera sig för att överhuvudtaget kunna få ett telefonnummer, i andra länder går det att helt anonymt börja använda ett telefonnummer.124 För att uppfylla identifieringsrekvistet torde det dock krävas att identifikationskontrollen vid utlämnandet av SIM-kortet uppnår en viss standard.
Sammanfattningsvis är alltså regleringen av avancerade elektroniska underskrifter teknikneutral, men för att anses som en sådan ska underskriften:
1. vara unik,
2. identifiera rätt person,
3. med hög grad av tillförlitlighet vara under innehavarens kontroll och 4. alla efterföljande ändringar i det som skrivits under ska kunna upptäckas.
5.2.2 Kvalificerad elektronisk underskrift (QES)
En kvalificerad elektronisk underskrift måste uppfylla samma rekvisit som en avancerad elektronisk underskrift, men ska dessutom ha skapats med hjälp av en kvalificerad anordning för underskriftsframställning som är baserad på ett kvalificerat certifikat för elektroniska underskrifter.125
Det finns en rad tekniska krav avseende vad dessa kvalificerade anordningar ska säkerställa, men också att generering och hantering av uppgifter för att skapa en kvalificerad elektronisk underskrift endast får utföras av en kvalificerad tillhandahållare av betrodda tjänster (QTSP126).127 Även det kvalificerade certifikatet får endast utfärdas av en QTSP.128
Den som vill få status som kvalificerad tillhandahållare av betrodda tjänster ska anmäla sin avsikt till det tillsynsorgan som respektive medlemsstat anmält till EU-kommissionen.129
Efter att ha mottagit en rapport om överensstämmelsebedömning ska tillsynsorganet kontrollera huruvida tillhandahållaren uppfyller kraven i eIDAS-förordningen, i synnerhet
123 Det är dock möjligt att på olika sätt kapa ett telefonnummer, antingen genom tekniska åtgärder eller genom att beställa ett nytt SIM-kort med samma telefonnummer.
124 Jfr Breyer mot Tyskland (2020).
125 Art 3.12 eIDAS-förordningen.
126 QTSP är den etablerade engelska förkortningen för Qualified Trust Service Provider. Någon liknande förkortning tycks inte finnas avseende det svenska uttrycket.
127 Bilaga II eIDAS-förordningen.
128 Bilaga I eIDAS-förordningen.
37
kraven för kvalificerade tillhandahållare av betrodda tjänster.130 Kraven på en QTSP inkluderar bland annat kontroll av personalens utbildning, företagets ekonomi, tjänstens tekniska säkerhet och tillförlitlighet.131 I Sverige är det Post- och telestyrelsen (PTS) som är tillsynsmyndighet.132 På så vis erhåller en kvalificerad elektronisk underskrift ett slags förhandsgodkännande som en avancerad elektronisk underskrift inte åtnjuter.
En kvalificerad elektronisk underskrift innebär alltså en väldigt hög säkerhetsnivå, men skulle sådana underskrifter krävas, antingen genom formkrav eller de facto genom bevisbörderegler, skulle de höga transaktionskostnader som dessa medför sannolikt skada den allmänna omsättningen.133 Den närmast fullkomliga frånvaron av leverantörer som tillhandahåller kvalificerade elektroniska underskrifter är här talande. Visserligen skulle antal leverantörer som tillhandahåller kvalificerade elektroniska underskrifter troligtvis öka om denna typ av underskrift blev ett krav, men med ökade transaktionskostnader måste det ändå göras en rimlighetsavvägning mellan en väldigt hög nivå av säkerhet och den allmänna omsättningen. Det bör också tilläggas att en avancerad elektronisk underskrift är säker, men att eventuella frågetecken ligger i huruvida en elektronisk underskrift faktiskt är avancerad eller inte. Samma osäkerhet finns inte med kvalificerade elektroniska underskrifter.